4 votos

Mejores Prácticas - Remoto De Windows 7 Guerrero De La Carretera Portátil Permisos De Usuario

Estoy interesado en lo que se consideran las mejores prácticas para la configuración de los ordenadores portátiles para los usuarios remotos que nunca están en la oficina. Con UAC en Windows 7, un usuario estándar es bastante limitada en lo que puede hacer. Cuando usted no desea desactivar UAC o hacer que el usuario Admin, ¿qué ajustes hacer cambiar a darles un poco de acceso básico, pero siguen siendo seguro?

Algunas frustraciones que me he topado recientemente incluyen:

  • El usuario no puede instalar su impresora doméstica sin derechos de administrador
  • El usuario no puede eliminar un corrupto bluetooth conexión de un teclado sin derechos de administrador para que puedan remate el teclado
  • El usuario no puede eliminar global de accesos directos de escritorio
  • UAC corta el acceso a través de conexiones VNC cuando se le pida la contraseña de administrador

La lista anterior puede ampliarse indefinidamente. En general, ¿qué permisos y la configuración de hacer cambiar a preparar laptops / notebooks para estar en las carreteras como un usuario limitado, donde el acceso de administrador es difícil en el mejor?

Como administrador, ¿cómo satisfacer las necesidades del usuario y de soporte fácil cuando no están en la oficina o una simple conexión a Escritorio Remoto?

4voto

Greg Askew Puntos 17236

Proporcionar una cuenta separada con permisos de administrador que se puede utilizar para este tipo de actividades. El usuario no tienen fácil acceso a sus recursos de red (documentos y correo electrónico) con los que cuenta, por lo que no sería inclinado a usar todo el tiempo. Se puede utilizar la cuenta con privilegios principalmente para el mensaje de UAC, o tal vez incluso para el inicio de sesión con un escritorio completo por los limitados casos de borde.

Si la cuenta es una cuenta de dominio, es necesario estar conectado al menos una vez mientras está conectado a la red para que sea utilizable (para almacenar en caché las credenciales).

Tenga en cuenta que para que esto funcione, sería exigir el cumplimiento de los Administradores de grupo mediante la Directiva de Grupo, o de auditoría para asegurarse de que no han sumado al grupo de Administradores. Hay una variedad de enfoques.

Lo hacemos utilizando una cuenta local con el mismo nombre de cuenta en cada equipo, lo que hace que sea fácil de configurar para el cumplimiento de GPO. Pero hay problemas de gestión asociados con la rotación de contraseñas para las cuentas locales. Si usted está bien con el usuario que gestiona el local de la contraseña de la cuenta, la cuenta local enfoque es probable que el trabajo para usted, y usted no necesita preocuparse acerca de las credenciales almacenadas en caché con las cuentas locales.

Usted también puede estar interesado en saber que el Poder del grupo de Usuarios no tiene los privilegios que se hizo en Windows XP (afortunadamente). Sin embargo, si usted realmente quiere disparar en el pie, es posible aplicar una plantilla de seguridad para el sistema de archivos, las carpetas y la configuración del registro y los privilegios para otorgar Poder a los Usuarios el nivel anterior de access.

Permisos y derechos han sido eliminados del grupo de Usuarios avanzados en Windows Vista
http://support.microsoft.com/kb/2028493

Derechos De Usuario
http://technet.microsoft.com/en-us/library/dd349804%28v=ws.10%29.aspx

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: